ICT zorgplicht

ICT zorgplicht

Wat houdt dat in?

Afgelopen week was er een uitspraak welke de ICT wereld deed wakker schudden, op nu.nl was het volgende artikel te lezen: IT-bedrijf moet schade door ransomware infectie aan klant vergoeden Ook verscheen er in het financieel dagblad IT-leverancier wacht golf aan claims door schade hackers een groot artikel over deze uitspraak met vooral 1 belangrijk punt “leg je de aansprakelijkheid met je ICT-dienstvelener goed vast”. Voor ons de reden om dit blog item te publiceren als gespreksstof.

Tegenwoordig doen bedrijven er alles aan om zich te beveiligen tegen kwaadwillende invloeden van buitenaf. Zo hebben we al eerder verschillende blogs geschreven over ransomware, het belang van sterke wachtwoorden en het up-to-date houden van uw ICT omgeving. In die zin geldt voor een digitale omgeving hetzelfde als voor een fysieke omgeving. Het achterhaalde of defecte slot op de achterdeur moet vervangen worden, indien dit niet meer toereikend is, net zoals apparatuur geüpdatet of vervangen moet worden.

Ga voor optimale beveiliging
Als je onvoldoende kennis hebt van sloten, roep je hiervoor de hulp in van een professional. Dit geldt ook voor digitale beveiliging en netwerkinrichting. Veel bedrijven maken gebruik van de diensten van ICT-dienstverleners. Deze ICT-dienstverleners richten het netwerk in binnen het budget en de wensen van de klant. Vaak wordt de keuze gemaakt voor gebruiksgemak en lage kosten. Dit is niet altijd de beste keuze vanuit beveiligingsoogpunt. Toch wordt vaak voldaan aan de wensen van de klant. Om bij de beeldspraak te blijven: de ICT-dienstverlener levert op verzoek van de klant het kozijn en de deur maar geen slot, want dat is voor de klant altijd een gedoe met binnenkomen.

De zorgplicht
Na een uitspraak van de rechtbank Amsterdam van afgelopen week blijkt dat de ICT-dienstverlener hierin een zorgplicht heeft. In november 2018 vond een ransomware-aanval plaats bij een administratiekantoor. Het administratiekantoor had het netwerk laten inrichten en beheren door een dienstverlener. Deze dienstverlener zou een totaaloplossing aanbieden. Ondanks de belofte een totaalaanbieding te leveren, zijn op verzoek van het administratiekantoor enkele gangbare beveiligingsmaatregelen niet geïmplementeerd. Wanneer een deur wordt geleverd zonder slot, kan iedereen de consequenties hiervan inschatten. Dit is niet het geval bij het leveren van een netwerkoplossing / ICT oplossing.

Het administratiekantoor daagde de dienstverlener voor de rechter en stelde de dienstverlener aansprakelijk voor onbehoorlijk beheer. Het administratiekantoor ging ervan uit dat adequate beveiliging ook onderdeel van het totaalpakket was, ondanks dat dit niet contractueel was overeengekomen. De rechtbank Amsterdam stelt het administratiekantoor gedeeltelijk in het gelijk. De dienstverlener heeft een zorgplicht jegens haar klanten. Indien deze klanten de voorgestelde maatregelen niet willen implementeren, had de dienstverlener de opdracht terug moeten geven wegens onuitvoerbaarheid of minimaal herhaaldelijk moeten blijven aandringen en waarschuwen.

Dit laatste betekend natuurlijk wel iets voor ons als ICT-dienstverlener en voor u als klant. Door deze uitspraak is er in ieder geval duidelijkheid gekomen en we zullen de verdere ontwikkelingen blijven volgen.